100 Bin Ethereumluk Güvenlik Açığı, Sorunsuz Şekilde Kapatıldı

Blockchain güvenlik firması ChainLight, zkSync Era protokolünde yüz milyonlarca dolarlık kayba yol açabilecek bir açık keşfetti.

ChainLight’ın bulduğu bug, zkSync Era’nın kullandığı devrelerden kaynaklandı. Bu devreler, işleme ait bilgilerin doğruluğunu, işleme dahil olan taraflara ait hassas bilgileri açığa çıkarmadan doğrulamayı sağlıyor.

ChainLight tarafından yapılan açıklamaya göre potansiyel saldırganlar, bu açığı blokların içindeki işlemleri manipüle etmek ama buna rağmen doğrulatmak için kullanabilirdi. Layer 1 düzeyindeki akıllı sözleşmeler bu durumda manipüle edilmiş işlem bilgilerini tespit edemezdi.

Böyle bir saldırının başarıyla yapılması halinde 100.000 Ethereum (ETH) değerinde bir kayıp yaşanabilirdi.

Ancak zkSync Era’nın güvenlik katmanları, böyle bir saldırının yapılmasını zorlaştırdı. ZkSync Era’nın altyapısını geliştiren Matter Labs’in güvenlik müdürü Anton Astafiev’in açıklamalarına göre böyle bir saldırıyı ancak Matter Labs’de üst düzey erişim yetkisi olan biri gerçekleştirebilirdi.

Bunun için saldırganın ya protokolün backend’ine erişebilmesi ya da protokolün blokları imzalamak için kullandığı özel anahtara sahip olması gerekliydi.

ChainLight tarafından yapılan açıklamaya göre Matter Labs, durum bildirildikten sonra sorunu kısa süre içerisinde çözdü. ChainLight ekibine ihbarı için 50.000 USDC ödül verildi.